freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

畢業(yè)論文-大型超市辦公網(wǎng)絡需求分析(編輯修改稿)

2024-07-23 20:08 本頁面
 

【文章內(nèi)容簡介】 中可以重復使用。為了減少網(wǎng)絡帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報文。備份路由器在連續(xù)三個通告間隔內(nèi)收不到VRRP或收到優(yōu)先級為0的通告后啟動新的一輪VRRP選舉[4]。   在VRRP路由器組中,按優(yōu)先級選舉主控路由器,VRRP協(xié)議中優(yōu)先級范圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優(yōu)先級:255。優(yōu)先級0一般用在IP地址所有者主動放棄主控者角色時使用??膳渲玫膬?yōu)先級范圍為1—254。優(yōu)先級的配置原則可以依據(jù)鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定。主控路由器的選舉中,高優(yōu)先級的虛擬路由器獲勝,因此,如果在VRRP組中有IP地址所有者,則它總是作為主控路由的角色出現(xiàn)。對于相同優(yōu)先級的候選路由器,按照IP地址大小順序選舉。VRRP還提供了優(yōu)先級搶占策略,如果配置了該策略,高優(yōu)先級的備份路由器便會剝奪當前低優(yōu)先級的主控路由器而成為新的主控路由器。   為了保證VRRP協(xié)議的安全性,提供了兩種安全認證措施:明文認證和IP頭認證。明文認證方式要求:在加入一個VRRP路由器組時,必須同時提供相同的VRID和明文密碼。適合于避免在局域網(wǎng)內(nèi)的配置錯誤,但不能防止通過網(wǎng)絡監(jiān)聽方式獲得密碼。IP頭認證的方式提供了更高的安全性,能夠防止報文重放和修改等攻擊。 靜態(tài)路由技術及規(guī)劃 靜態(tài)路由一般是由管理員手工設置的路由,而動態(tài)路由則是路由器中的動態(tài)路由協(xié)議根據(jù)網(wǎng)絡拓撲情況和特定的要求自動生成的路由條目。 什么樣的路由器要使用什么樣的路由協(xié)議,是由網(wǎng)絡的管理策略直接決定的。一般中小型的網(wǎng)絡,網(wǎng)絡拓撲比較簡單,不存在線路冗余等因素,所以通常采用靜態(tài)路由的方式來配置。但是大型網(wǎng)絡網(wǎng)絡拓撲復雜,路由器數(shù)量大,線路冗余多,管理人員相對較少,要求管理效率要高等原因,通常都會使用動態(tài)路由協(xié)議,適當?shù)妮o以靜態(tài)路由的方式。 靜態(tài)路由基本上都是人為配置的路由,或由人為的相關設置自動生成的,如你配置了IP地址就會產(chǎn)生一個直連路由[5]。 一般的靜態(tài)路由設置經(jīng)過保存后重起路由器都不會消失,但相應端口關閉或失效時就會有相應的靜態(tài)路由消失。反而動態(tài)路由卻會消失,因為動態(tài)路由要在動態(tài)路由協(xié)議正常運行的前提下才能產(chǎn)生的。 ARP技術及規(guī)劃 在局域網(wǎng)中,通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)的。ARP協(xié)議對網(wǎng)絡安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信流量使網(wǎng)絡阻塞[6]。 ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在局域網(wǎng)中,網(wǎng)絡中實際傳輸?shù)氖恰皫保瑤锩媸怯心繕酥鳈C的MAC地址的。在以太網(wǎng)中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。 每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應的,如下所示: A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 我們以主機A()向主機B()發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網(wǎng)絡上發(fā)送一個廣播,目標MAC地址是“”,這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問:“ ?”網(wǎng)絡上其他主機并不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:“”。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發(fā)送信息時,直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制,在一段時間內(nèi)如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。 從上面可以看出,ARP協(xié)議的基礎就是信任局域網(wǎng)內(nèi)所有的人,那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標A進行欺騙,A去Ping主機C卻發(fā)送到了DDDDDDDDDDDD這個地址上。如果進行欺騙的時候,把C的MAC地址騙為DDDDDDDDDDDD,于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么,嗅探成功。 A對這個變化一點都沒有意識到,但是接下來的事情就讓A產(chǎn)生了懷疑。因為A和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。 做“man in the middle”,進行ARP重定向。打開D的IP轉(zhuǎn)發(fā)功能,A發(fā)送過來的數(shù)據(jù)包,轉(zhuǎn)發(fā)給C,好比一個路由器一樣。不過,假如D發(fā)送ICMP重定向的話就中斷了整個計劃。 D直接進行整個包的修改轉(zhuǎn)發(fā),捕獲到A發(fā)送給C的數(shù)據(jù)包,全部進行修改后再轉(zhuǎn)發(fā)給C,而C接收到的數(shù)據(jù)包完全認為是從A發(fā)送來的。不過,C發(fā)送的數(shù)據(jù)包又直接傳遞給A,倘若再次進行對C的ARP欺騙?,F(xiàn)在D就完全成為A與C的中間橋梁了,對于A和C之間的通訊就可以了如指掌了。 NAT技術及規(guī)劃 隨著Internet的發(fā)展和網(wǎng)絡應用的增多,IPv4地址枯竭已成為制約網(wǎng)絡發(fā)展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足問題,但目前眾多網(wǎng)絡設備和網(wǎng)絡應用大多是基于IPv4的,因此在IPv6廣泛應用之前,一些過渡技術(如CIDR、私網(wǎng)地址等)的使用是解決這個問題最主要的技術手段[7]。 其中,使用私網(wǎng)地址之所以能夠節(jié)省IPv4地址,主要是利用了這樣一個事實:一個局域網(wǎng)中在一定時間內(nèi)只有很少的主機需訪問外部網(wǎng)絡,而80%左右的流量只局限于局域網(wǎng)內(nèi)部。由于局域網(wǎng)內(nèi)部的互訪可通過私網(wǎng)地址實現(xiàn),且私網(wǎng)地址在不同局域網(wǎng)內(nèi)可被重復利用,因此私網(wǎng)地址的使用有效緩解了IPv4地址不足的問題。當局域網(wǎng)內(nèi)的主機要訪問外部網(wǎng)絡時,只需通過NAT技術將其私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址即可,這樣既可保證網(wǎng)絡互通,又節(jié)省了公網(wǎng)地址。 作為一種過渡方案,NAT通過地址重用的方法來滿足IP地址的需要,可以在一定程度上緩解IP地址空間枯竭的壓力。它具備以下優(yōu)點:l 對于內(nèi)部通訊可以利用私網(wǎng)地址,如果需要與外部通訊或訪問外部資源,則可通過將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址來實現(xiàn)。l 通過公網(wǎng)地址與端口的結(jié)合,可使多個私網(wǎng)用戶共用一個公網(wǎng)地址。l 通過靜態(tài)映射,不同的內(nèi)部服務器可以映射到同一個公網(wǎng)地址。外部用戶可通過公網(wǎng)地址和端口訪問不同的內(nèi)部服務器,同時還隱藏了內(nèi)部服務器的真實IP地址,從而防止外部對內(nèi)部服務器乃至內(nèi)部網(wǎng)絡的攻擊行為。l 方便網(wǎng)絡管理,如通過改變映射表就可實現(xiàn)私網(wǎng)服務器的遷移,內(nèi)部網(wǎng)絡的改變也很容易。 NAT的基本原理是僅在私網(wǎng)主機需要訪問Internet時才會分配到合法的公網(wǎng)地址,而在內(nèi)部互聯(lián)時則使用私網(wǎng)地址。當訪問Internet的報文經(jīng)過NAT網(wǎng)關時,NAT網(wǎng)關會用一個合法的公網(wǎng)地址替換原報文中的源IP地址,并對這種轉(zhuǎn)換進行記錄;之后,當報文從Internet側(cè)返回時,NAT網(wǎng)關查找原有的記錄,將報文的目的地址再替換回原來的私網(wǎng)地址,并送回發(fā)出請求的主機。這樣,在私網(wǎng)側(cè)或公網(wǎng)側(cè)設備看來,這個過程與普通的網(wǎng)絡訪問并沒有任何的區(qū)別。 ACL技術及規(guī)劃 ACL技術在路由器中被廣泛采用,它是一種基于包過濾的流控制技術。標準訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素,并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應用在企業(yè)的出口控制上,可以通過實施ACL,可以有效的部署企業(yè)網(wǎng)絡出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡資源的增加,一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力,進而來保障這些資源的安全性。 ACL技術可以有效的在三層上控制網(wǎng)絡用戶對網(wǎng)絡資源的訪問,它可以具體到兩臺網(wǎng)絡設備間的網(wǎng)絡應用,也可以按照網(wǎng)段進行大范圍的訪問控制管理,為網(wǎng)絡應用提供了一個有效的安全手段[8]。一方面,采用ACL技術,網(wǎng)絡管理員需要明確每一臺主機及工作站所在的IP子網(wǎng)并確認它們之間的訪問關系,適用于網(wǎng)絡終端數(shù)量有限的網(wǎng)絡。對于大型網(wǎng)絡,為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時,巨大的網(wǎng)絡終端數(shù)量,同樣會增加管理的復雜度和難度。另一方面,維護ACL不僅耗時,而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強,并且牽涉到網(wǎng)絡的整體規(guī)劃,它的使用對于策略制定及網(wǎng)絡規(guī)劃的人員的技術素質(zhì)要求比較高。因此,是否采用ACL技術及在多大的程度上利用它,是管理效益與網(wǎng)絡安全之間的一個權衡。 訪問控制列表從概念上來講并不復雜,復雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現(xiàn)錯誤。下面是對幾種訪問控制列表的簡要總結(jié)。l 標準IP訪問控制列表: 一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。l 擴展IP訪問控制列表:擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項,包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。l 命名的IP訪問控制列表:所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標準和擴展兩種列表,定義過濾的語句與編號方式中相似。 l 標準IPX訪問控制列表:標準IPX訪問控制列表的編號范圍是800899,它檢查IPX源網(wǎng)絡號和目的網(wǎng)絡號,同樣可以檢查源地址和目的地址的節(jié)點號部分。   l 擴展IPX訪問控制列表: 擴展IPX訪問控制列表在標準IPX訪問控制列表的基礎上,增加了對IPX報頭中以下幾個字段的檢查,它們是協(xié)議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900999。   命名的IPX訪問控制列表與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表,同樣有標準和擴展之分。 SSL VPN技術及規(guī)劃SSLVPN、IPSecVPN、網(wǎng)絡安全VPN是一項非常實用的技術,它可以擴展企業(yè)的內(nèi)部網(wǎng)絡,近期,傳統(tǒng)的IPSecVPN出現(xiàn)了客戶端不易配置等問題,相對而言,SSLVPN作為一種全新的技術正在被廣泛關注,SSL利用內(nèi)置在每個Web瀏覽器中的加密和驗證功能,并與安全網(wǎng)關相結(jié)合,提供安全遠程訪問企業(yè)應用的機制,這樣,遠程移動用戶可以輕松訪問公司內(nèi)部B/S和C/S應用及其他核心資源[9]。SSLVPN是指應用層的VPN,基于HTTPS來訪問受保護的應用。目前常見的SSLVPN方案有兩種:直路方式和旁路方式。直路方式中,當客戶端需要訪問一應用服務器時,首先,客戶端和SSLVPN網(wǎng)關通過證書互相驗證雙方;其次,客戶端和SSLVPN網(wǎng)關之間建立SSL通道。然后,SSLVPN網(wǎng)關作為客戶端的代理和應用服務器之間建立TCP連接,在客戶端和應用服務器之間轉(zhuǎn)發(fā)數(shù)據(jù)。旁路方式與直路不同的是,為了減輕在進行SSL加解密時的運行負擔,也可以獨立出SSL加速設備,在SSLVPNServer接收到HTTPS請求時將SSL加密的過程交給SSL加速設備來處理,當SSL加速設備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSLVPNServer。 保密性就是對抗對手的被動攻擊,保證不泄漏給未經(jīng)授權的人。由于使用的是SSL協(xié)議,該協(xié)議是介于HTTP層及TCP層的安全協(xié)議。傳輸?shù)膬?nèi)容是經(jīng)過加密的。SSLVPN通過設置不同級別的用戶,設置不同級別的權限來屏蔽非授權用戶的訪問。用戶的設置可以有設置帳戶、使用證書、Radius機制等不同的方式。SSL數(shù)據(jù)加密的安全性由加密算法來保證,各家公司的算法可能都不一樣。黑客想要竊聽網(wǎng)絡中的數(shù)據(jù),就要能夠解開這些加密算法后的數(shù)據(jù)包。 完整性就是對抗對手主動攻擊,防止被未經(jīng)授權的篡改。由于SSLVPN一般在GATEWAY上或者在防火墻后面,把企業(yè)內(nèi)部需要被授權外部訪問的內(nèi)部應用注冊到SSLVPN上,這樣對于GATEWAY來講,需要開通443這樣的端口到SSLVPN即可,而不需要開通所有內(nèi)部的應用的端口,如果有黑客發(fā)起攻擊也只能到SSLVPN這里,攻擊不到內(nèi)部的實際應用。 可用性就是保證及系統(tǒng)確實為授權使用者所用。前面已經(jīng)提到,對于SSLVPN要保護的后臺應用,可以為其設置不同的級別,只有相應級別的用戶才可以訪問到其對應級別的資源,從而保證了的可用性。 可控性就是對及系統(tǒng)實施安全監(jiān)控。SSLVPN作為一個安全的訪問連接建立工具,所有的訪問都要經(jīng)過這個網(wǎng)關,所以記錄日志對于網(wǎng)關來說非常重要。不僅要記錄日志,還要提供完善的超強的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊,從而對系統(tǒng)實施監(jiān)控。 客戶端的區(qū)別是SSLVPN最大的優(yōu)勢。瀏覽器內(nèi)嵌了SSL協(xié)議,所以預先安裝了Web瀏覽器的客戶機可以隨時作為SSLVPN的客戶端。這樣,使用零客戶端的SSLVPN遠程訪問的用戶可以為遠程員工、客戶、合作伙伴及供應商等,通過SSLVPN,客戶端可以在任何時間任何地點對應用資源進行訪問,也就是說是基于B/S結(jié)構的業(yè)務時,可以直接使用瀏覽器完成SSL的VPN建立;而IPSecVPN只允許已經(jīng)定義好的客戶端進行訪問,所以它更適用于企業(yè)內(nèi)部。 一般企業(yè)在Internet聯(lián)機入口,都是采取適當?shù)姆蓝緜蓽y措施。不論是IPSecVPN或S
點擊復制文檔內(nèi)容
環(huán)評公示相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1